mozers
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lykym Цитата: есть и утилиты, не помню щас как называется, грузишся с диска и сбрасываешь пароль | Windows NT Change Password Utility. Да я что то про нее забыл Цитата: требует чтоб пароль состоял из различных символов), я у себя ее сразу отключаю | Тоже помню как то делал, а сейчас поискал и не нашел где Два года перерыва это знаете ли... Цитата: и как он в домен не пускает, под этим паролем или вообще не под каким | Ни под каким. Цитата: зачем его переустанавливать, можно зайти под аккаунтом администратора домена | Этот логин и пароль как раз и есть администратора домена. Ладно. Это частный случай не отраженный в документации. Да мало ли таких!? Надо просто учитывать что такое запросто может произойти и не напарываться, после того как вас предупредили. Я думаю что эту тему можно закрыть. Что же касается групп безопасности, то в результате обсуждения я понял что нормальные пацаны делают так:- Сохраняют в неприкосновенности все (даже ненужные) предустановленные и устанавливаемые некоторым ПО группы безопасности (типа Replicator, VS Developers,...) и отдельных пользователей (типа ASPNET, SQLDebugger,...). А потом делают вид что эти группы и пользователи просто не существуют.
- Администраторов включают в группу "Администраторы домена" - так они имеют все права.
Я очень сомневаюсь что так они смогут зайти со своим логином/паролем на машину, отключенную от сети. - Всех юзеров кидают в "Users" и считают что там им будет хорошо.
- Если каких то прав у пользователя не хватает, то добавляют его еще в одну(две, три, четыре,...) подходящих группы безопасности.
- Если каким то пользователям надо дать обособленные права, которые с помощью вышеописанных махинаций получить не удается, то делают копию группы безопасности "Users" (которая, кстати, не Bultin) и начинают в этой группе вручную выставлять/удалять права
Я правильно вас понял? |